Health-ISAC Hacking Healthcare 5-9-2024

Šią savaitę „Hacking Healthcare™“ dėmesys sutelkiamas į naujus pokyčius, susijusius su AI rizika, sauga ir saugumu. Visų pirma, mes išardome naujojo Krašto saugumo departamento (DHS) Dirbtinio intelekto saugos ir saugumo taryba ir tada peržiūrėkite naujas DHS gaires Saugos ir saugumo gairės ypatingos svarbos infrastruktūros objektų savininkams ir operatoriams.

Primename, kad tai yra vieša dienoraščio „Hacking Healthcare“ versija. Norėdami gauti papildomos išsamios analizės ir nuomonės, tapkite H-ISAC nariu ir gaukite šio tinklaraščio TLP Amber versiją (pasiekiama narių portale).

Sveiki sugrįžę į „Hacking Healthcare™“.

„Health-ISAC Americas“ pomėgių pratimai 2024 m

„Health-ISAC“ vėl pradeda ruoštis kasmetinėms Amerikos pomėgių pratyboms! Naujiesiems „Health-ISAC“ nariams „Hobby Exercise“ yra kasmetinis sveikatos priežiūros ir visuomenės sveikatos (HPH) renginys, skirtas įtraukti sveikatos priežiūros sektorių ir strateginius partnerius į svarbius saugumo ir atsparumo iššūkius. Pagrindinis tikslas yra informuoti ir suteikti galimybes nuolatiniam organizacijos tobulėjimui, kartu didinant sveikatos priežiūros sektoriaus atsparumą.

Šioje nuorodoje į praėjusių metų „Hobby Exercise After Action“ ataskaitą pateikiama gera sąveikos ir vertės, kurios galite tikėtis iš šių metų renginio, apžvalga:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Šių metų pratybos vyks birželio 6 d. Venable LLP biure Vašingtone Nariai raginami registruotis savo susidomėjimą dalyvauti šioje nuorodoje:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Nacionalinio saugumo memorandumas 22 peržiūri JAV požiūrį į ypatingos svarbos infrastruktūrą

Balandžio 30 d. Bideno administracija paskelbė Nacionalinio saugumo memorandumas 22 (NSM-22): dėl ypatingos svarbos infrastruktūros objektų saugumo ir atsparumo.^[I] Šis memorandumas yra naujausia daugelio vykdomųjų memorandumų, kuriais buvo siekiama apibrėžti, kas yra JAV ypatingos svarbos infrastruktūra, peržiūra ir apibūdinti, kaip vyriausybė turi pagerinti šios ypatingos svarbos infrastruktūros saugumą ir atsparumą. Kaip ir galima tikėtis, NSM-22 turės tiesioginį ir netiesioginį poveikį sveikatos priežiūros ir visuomenės sveikatos (HPH) sektoriui.

Kas yra NSM-22 ir ką jis pakeičia? 

Nuo 2013 m. Jungtinių Valstijų federalinė vyriausybė laikosi Prezidento politikos direktyva 21 (PPD-21) kaip nuolatinėmis gairėmis dėl to, kas yra JAV ypatingos svarbos infrastruktūros objektai, kaip Jungtinių Valstijų vyriausybė turėtų stengtis apsaugoti šią infrastruktūrą, taip pat numatytą privataus sektoriaus vaidmenį. Nors šis vykdomasis memorandumas neturi įstatymo galios, jis niekada nebuvo panaikintas ar pakeistas iki praėjusios savaitės.

Šis atnaujinimas buvo pradėtas priėmus HR6395, William M. (Mac) Thornberry Nacionalinės gynybos leidimo įstatymą 2021 fiskaliniams metams, pagal kurį buvo reikalaujama DHS sekretoriaus, konsultuojantis su sektorių rizikos valdymo agentūrų (SRMA) vadovais. „peržiūrėti dabartinę ypatingos svarbos infrastruktūros objektų apsaugos sistemą...“ ir pateikti ataskaitą, susijusią su galimais pakeitimais.^[Ii] Tos ataskaitos turinį pasirašė prezidentas Bidenas ir dirbo prie NSM-22.

NSM-22 Turinys

Maždaug 35 puslapių ilgio NSM-22 pateikia šiuos dalykus, siekiant „plėtoti [Jungtinių Valstijų] nacionalinę pastangas stiprinti ir palaikyti saugią, veikiančią ir atsparią kritinę infrastruktūrą“:^[III]

• Aštuoni politikos principai;
• Aštuoni tikslai;
• Išaiškinimas dėl federalinių departamentų ir agentūrų vaidmenų ir atsakomybės;
• Rizikos valdymo ir visų grėsmių/pavojaus požiūrio į saugumą ir atsparumą skatinimas;
• būtiniausių saugumo ir atsparumo reikalavimų įpareigojimas ypatingos svarbos infrastruktūros sektoriams;
• Nacionalinio infrastruktūros rizikos valdymo plano kryptis;
• Sistemiškai svarbių subjektų (SIE) pakartojimas;
• keitimosi informacija ir informacijos mainų skatinimas;
• ypatingos svarbos infrastruktūros objektų, nustatytų ypatingos svarbos infrastruktūros sektorių ir atsakingų SRMA apibrėžimo pakartojimas; ir
• Įgyvendinimo planas federaliniams subjektams, kad jie vykdytų tai, kas aprašyta aukščiau.

Veiksmas ir analizė
**Su Health-ISAC naryste**

Būsimi tarptautiniai klausymai / susitikimai

• EU
  1. Šiuo metu nėra atitinkamų susitikimų
• US
  1. Šiuo metu nėra atitinkamų susitikimų
• Likęs pasaulis
  1. Šiuo metu nėra atitinkamų susitikimų

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[III]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[IV] Prezidento sprendimo direktyva/NSC-63

^[V] Prezidento politikos direktyva 21

^[Vi] „Sistemos ir turtas, nesvarbu, ar jie yra fiziniai, ar virtualūs, tokie gyvybiškai svarbūs Jungtinėms Valstijoms, kad tokių sistemų ir turto neveiksnumas arba sunaikinimas turėtų neigiamo poveikio nacionaliniam saugumui, nacionaliniam ekonominiam saugumui, nacionalinei visuomenės sveikatai ar saugumui arba bet kokiam jų deriniui. reikalai“.

^[Vii]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[VIII]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[IX] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[Xii] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Susiję šaltiniai ir naujienos
• Health-ISAC Hacking Healthcare 5-11-2026
• CISO vadovėlio 2 tomas – „0Auth“ žetono pažeidžiamumas, sukėlęs „Salesforce“ įsilaužimą
• Mėnesinis naujienlaiškis – 2026 m. gegužės mėn
• Ketvirčio grėsmių įžvalgos – 1 m. I ketvirtis
• Ką „Stryker“ ataka atskleidžia apie medicinos prietaisų saugumą
• Dirbtinio intelekto saugaus naudojimo politika ir apsaugos priemonės
• HSCC pristato trečiųjų šalių dirbtinio intelekto rizikos ir tiekimo grandinės skaidrumo vadovą
• „Anthropic“ pristato stebuklingą 0 dienų kompiuterių dievą
• Sveikatos priežiūra taikiklyje: su Iranu susijusios kibernetinės grėsmės kelia pavojų ligoninėms, medicinos technologijų ir priežiūros paslaugų teikimo tiekimo grandinėms
• „Health-ISAC“ atkreipia dėmesį į kibernetinio atsparumo ir reagavimo į incidentus spragas…